2020년 동경 패럴림픽과 북한 2020년 정책 관련 내용의 러시아어로 위장한 문서 화면 [이스트시큐리티]

<이미지를 클릭하시면 크게 보실 수 있습니다>

[헤럴드경제=김민지 기자] 2020년 도쿄 패럴림픽 관련 문서로 둔갑한 새로운 피싱 공격이 발견됐다.

17일 보안 전문 기업 이스트시큐리티는 대표적인 APT(지능형 지속 위협) 공격 조직 중 하나인 ‘코니(Konni)’의 스피어 피싱(Spear Phishing) 공격 시도가 올해 들어 새롭게 포착됐다고17일 밝혔다.

이번에 발견된 APT 공격은 이메일에 악성 DOC 문서 파일을 첨부하는 방식을 사용한 것으로 추정된다. 악성 문서 파일은 러시아어로 작성돼 있으며, 북한의 2020년 정책과 일본의 2020년 패럴림픽 관련 내용을 담고 있는 것이 특징이다. 피싱에 활용된 악성 문서 2종은 지난달 14일과 15일에 작성된 최신 위협 사례로 분석됐다.

특히 일본 2020년 패럴림픽 관련 문서 파일명은 실제 존재하는 자선 단체를 사칭한 ‘Kinzler Foundation for 2020 Tokyo Paralympic games.doc’으로, 수신자가 메일을 열어보게끔 유도한다.

이번 공격 배후는 유명 해커 조직 중 하나인 코니인 것으로 추정된다. 공격에 활용된 악성 매크로 코드가 과거 코니 조직이 활용했던 매크로와 거의 유사하게 만들어졌고, 악성 문서 파일 구조 역시 매우 흡사한 것으로 드러났기 때문이다. 코니 조직은 지난해 9월 러시아-북한-한국 무역, 경제 관계 투자 문서로 APT 공격을 시행한 바 있다.

만약, 이메일을 수신한 사용자가 첨부된 문서의 ‘컨텐츠 사용’ 버튼을 클릭하면, 내부에 포함된 악의적 VBA 코드가 활성화되면서 정상적인 문서 내용을 보여줌과 동시에 악성코드가 은밀히 실행된다.

악성코드에 감염되면 공격자가 사용자 PC 시스템의 주요 정보를 업로드하고, 공격자의 추가 명령에 따라 원격제어가 가능한 RAT 감염 등 2차 피해로 이어질 수 있다.

문종현 이스트시큐리티 보안 대응 전문 조직(ESRC) 이사는 “북한 관련 주제를 활용한 코니 조직의 APT 공격이 꾸준히 이어져 왔으며 2020년에도 코니 조직의 활동이 새롭게 포착됐다”며“ ESRC에서는 집중 모니터링을 강화하고 변종에 대한 대응을 철저히 진행하고 있다”고 말했다.

현재 ESRC에서는 보고된 변종 악성 DOC 문서 파일에 의한 악성 코드 감염 피해 방지를 위해, 자사의 백신 알약(ALYac) 긴급 업데이트를 진행했다. 현재 알약에서는 관련 문서 파일을 탐지명 ‘Trojan.Downloader.W97M.Gen’으로 차단 치료 가능하다.

jakmeen@heraldcorp.com

- Copyrights ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지 -